http://www.asyura2.com/12/warb10/msg/803.html
Tweet |
株式日記と経済展望
http://www5.plala.or.jp/kabusiki/kabu284.html
http://blog.goo.ne.jp/2005tora/
--------------------------------------------------------------------------------
韓国で発生した大規模サイバー攻撃は、非正規Windowsの導入が残ったままであった可能性
が高い。非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
2013年3月22日 金曜日
◆韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因 3月21日 片山 昌樹
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/
3月20日に韓国で発生した大規模サイバー攻撃(関連記事1、関連記事2)。同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。
筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。なぜ、そのように判断したか、順を追って解説してきたい。
まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。
非正規ライセンスのWindowsサーバーが残ったままか
だが、それはあくまでクライアントレベルであり、Windows Server Update Services(WSUS)という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。実際にファイルの提供そのものはAkamaiのネットワークを経由している。
そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま(正規のWindowsと思い込んで)使い続けていた可能性が高い。そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。すると、まさに今回示した挙動と瓜二つな挙動(ただしクライアントが直接ファイルを取りに行く)を示していた。Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ(3月20日)にMBRを破壊するウィルスが活動を開始したと推測される。
◆サイバーテロ:放送局3社がパニックに 3月21日 朝鮮日報
http://www.chosunonline.com/site/data/html_dir/2013/03/21/2013032100471.html?ent_rank_news
夜の番組の準備に奔走していたKBS、MBC、YTNの放送局3社は20日午後2時ごろ、社内イントラネットなどがダウンしてパソコンが一斉に使えなくなり、パニックに陥った。特に、戦争や災害が起こった際に国の基幹放送局の役割を果たすべきKBSでも前代未聞の障害が発生し、備えの甘さが浮き彫りになった。
KBSの記者は「2時ごろ全てのパソコン画面に判読できない英文が現れ、ダウンした。強制終了したところ再起動できなくなった」と語った。
KBSは午後2時15分ごろ、社内放送で全てのパソコンの電源を落とすよう伝え、外部からの自社サイトへのアクセスも遮断した。普段は社内のシステムから音源をダウンロードして放送しているラジオ番組も、この日は1曲ずつCDを探す羽目になった。放送作家たちは台本を書くため近所のインターネットカフェに走った。
KBSの社内では「中央日報と農協に対するサイバー攻撃が起こってからも対応指針を設けず、自ら混乱を招いた」との批判が出ている。匿名を希望したKBS社員は「自社でサイバー攻撃への対策を立てたり指針を設けたりしたことはない。対策を立てていれば今回のようなパニックは起きなかっただろう」と指摘した。
MBCもほぼ同時刻に社内イントラネットがダウンし、社員が対応に追われた。同社の関係者は「経営・管理に関するシステムが打撃を受けたが、別のサーバーを利用している制作・編集・配信業務には影響が出なかった。社内放送で問題となった全てのパソコンの電源を落とさせた」と話している。
YTNも社内のパソコン500台余りが一斉に使えなくなり、業務を電話で処理する事態となった。SBSとEBSは特に影響を受けなかったが、万一の事態に備え緊急対策会議を行った。
(私のコメント)
韓国の放送局に大規模なサイバー攻撃が行なわれたと韓国では大騒ぎですが、なぜ韓国の放送局だけが狙われたのだろうか? 北朝鮮や中国の仕業なら、日本の放送局も狙われても不思議ではありませんが、日本の放送局が狙われた報道はない。正規なWindowsの導入がなされていれば正式なパッチもされていたのでしょうが、非正規な社内向けのパッチ管理サーバーが残っていた為らしい。
放送局と言う大企業ですら非正規版のWindowsが使われていたとすれば驚きですが、韓国や中国では非正規版のWindowsが1000円程度で売られている。個人ならそういったものに手を出すのも仕方がないのでしょうが、マイクロソフトのアップデートで再起動できなくなる事が中国や韓国で数年前に起きた。中国や韓国ではパソコンソフトは盗むものであり、高い金を出して買う人は少ない。
知的財産保護の制度が中国や韓国ではなかなか守られず、コピー商品が溢れかえっていますが、それが先進国になれない大きな要因なのですが、経済発展して日本より経済大国になっても中国は知的財産保護の制度が定着しない。日本で映画やテレビドラマが放送されれば翌日には韓国や中国ではテロップつきでネットで公開されている。
このような状況では、放送局も連日のように音楽番組を放送しているから、録画されてしまってCDやDVDが売れるわけが無い。日本では知的財産の保護が行き過ぎて、音楽番組の放送がほとんどなくなり、ドラマも少なくなってバラエティーばかりになってしまった。デジタルの時代になっていくらでもコピーが出来るから著作権の管理が厳しくなった。例外的なのは韓国だ。
このようなコピー商品がまかり通れば、非正規Windowsも出回るのも当然であり、それは個人から放送局までが非正規Windows使われていた可能性が高い。正規品ならセキュリティーホール対策がなされたアップデートが行なわれますが、「非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。」そこを北朝鮮に突かれたのかも知れない。
記事では、「こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。」そうですが、そこにウイルスが入り込む隙がある。アップデートまでコピーされているのだから呆れ返りますが、安いものは危険だと言う事を認識すべきだろう。
韓国の報道やNHKなどの日本の報道でも、もっぱら北朝鮮からのサイバー攻撃だと報道されていますが、非正規Windowsが原因だと言う報道はされる事はない。北朝鮮のサイバー攻撃のレベルが各国の公的機関のシステムを破壊できるほどの能力があるとは思えませんが、アメリカでは天才的なハッカーがセキュリティーの穴を見つけてアメリカの政府機関のサーバーに入り込むことがあるようです。
私などもネット上にデーターを置いたりすれば便利だと思うのですが、サーバーにデーターを置いても、ほとんどネットには繋がずにサーバーは使うときにしか電源は入れない。ブログも時々繋がらなくなる時もありますが、F5攻撃などの低レベルの妨害であり、クライアントのほうもセキュリティーソフトが入っていれば大抵は間に合う。
中国や北朝鮮は、サイバー攻撃の専門部隊を組織しているようですが、今回の3月20日に韓国で発生した大規模サイバー攻撃も北朝鮮の仕業らしい。しかし韓国側にも非正規Windowsの導入が残ったままであった可能性が高い。そこを突かれればどうしようもない。中国製の海賊版Windows でも「実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。」そうですが、特定のサーバーだけを攻撃する事も可能だそうです。
今回のは、サイバー攻撃ではなく以前にもあったアップデートによる海賊版退治のせいだと言う説もあります。韓国の銀行や放送局が海賊版のWindows 7を使っていたと言うことになりますが、そうなると真犯人はマイクロソフトと言う事になる。
◆韓国”サイバー攻撃”拝考 3月21日 博士の独り言
http://torakagenotes.blog91.fc2.com/blog-entry-1693.html
貴重なご投稿に感謝します。詳細は不明ながら、韓国(南朝鮮)の「韓国放送局や銀行システム障害、サイバー攻撃か」との“ニュース”ですが、どうもご指摘の可能性も否定できないのではないかと。そうも考えられるというご指摘ですね。
確かに、「2011年2月にWindows 7のService Pack 1(SP1)提供がスタートしました。これまでは不要だからとアップデートを避けてきた人もいるかもしれませんが、明日(3月20日)からは順次自動アップデートが行われることになります。その際、空き容量が1GB以上必要になるため、注意が必要です」との「予告」と符合しており、OSの「海賊版(コピーなど)」を使用していた放送局なり銀行なりが、モノを自動アップデート出来ずに“ダウン”した。「そのもの」である“可能性”が、ご指摘のNHKニュースの挿入画面で観ることができます。
言葉を換えれば、マイクロソフト社の「海賊版対策」に、そのまま南朝鮮の企業なりが“対応”できなかった。つまり「海賊版」をそのまま使用していたから、「自動アップデート」に対応できずに“Operating System not found ”となったとの、その可能性が窺えます。ご指摘が正解とすれば、いかにもパクりや盗用を「国是」として来た同国らしい“事件”と謂うえるのではないか。たとえば、韓流思考で謂えば、“偽造運転免許証なりが自動車運転に使用できなくなった。”それと同じことではないかと。そうも拝察できます。敷島の思考で謂えば、そもそも偽造免許証などで運転しようとするそのものが犯罪ですが。
----------
本当に「サイバー攻撃」なら
仮に、支那や北朝鮮などによるものと推定し得る「サイバー攻撃」であるとするならばの話ですが。日本、欧米の事例のように、国家的、且つ技術的な、または銀時機密情報に関わるシステムなり、サーバーなりが「攻撃」を受ける事例がごく“一般的”ではないかと思われます。
今般の“被害”が、上記の類に限られたものであるとするほどに、上記の可能性が高まるのではないか。また、上記の状態のシステムからどうやって外部からの“ハッキング”が可能なのか。具体的な情報が欲しいところです。
それを“真面目”に放送しながら、さしもの「原因」が判りそうな画面を、受け売りのように挿入したNHKもステキです。Windowsは個人的には余り知らないため、是非、勉強させていただきたいと思っています。
(以上、島津義広より)
この記事を読んだ人はこんな記事も読んでいます(表示まで20秒程度時間がかかります。)
- 今回のサイバー攻撃ではWindowsの自動更新のタイミングで一斉に被害が発生したため、当面は自動更新を回避するという手当 TORA 2013/3/22 19:57:30
(0)
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。